http://www.behoerden-spiegel.de
Anzeige 
 

Schadsoftware "WannaCry"

Weltweiter Angriff deutlich verlangsamt / Gefahr besteht weiterhin

Gegen die unbekannten Drahtzieher hinter dem "WannaCry"-Angriff haben weltweit Ermittlungen begonnen. In Deutschland ermitteln das Bundeskriminalamt und die Staatsanwaltschaft Berlin. (Foto: BS/Symantec)
Gegen die unbekannten Drahtzieher hinter dem "WannaCry"-Angriff haben weltweit Ermittlungen begonnen. In Deutschland ermitteln das Bundeskriminalamt und die Staatsanwaltschaft Berlin. (Foto: BS/Symantec)
Die Ransomware "WannaCry" hat im Laufe des Wochenendes über 200.000 Computer in 150 Ländern befallen. Ein von IT-Sicherheitsforschern zufällig entdeckter Stopp-Mechanismus konnte die Verbreitung bereits seit Samstag deutlich verlangsamen. Entwarnung kann aber nicht gegeben werden. (15.05.2017)

Seit Freitag verbreitete sich "WannaCry" in hohem Tempo auf Windows-Computern. Die Schadsoftware verschlüsselt Nutzer- und Geschäftsdaten und soll sie angeblich nach Ablauf einer Frist auch löschen. Betroffene werden von den unbekannten Drahtziehern aufgefordert, Geld in Form von Bitcoins zu überweisen, damit die Daten wieder entschlüsselt werden.

Unter den Betroffenen war in Deutschland die Deutsche Bahn AG. Es kam zu Problemen mit Anzeigetafeln, Fahrkartenautomaten und der Videoüberwachungstechnik. Beim US-amerikanischen Logistik-Unternehmen FedEx kam es zu Ausfällen. In Frankreich reagierte Renault auf die Ausbreitung der Schadsoftware mit Produktionsstopps in einigen Werken. In Russland waren die Bahn sowie die Zentralbank und einige Ministerien betroffen. Besonders empfindlich hat es Großbritannien getroffen: In mehr als 20 Krankenhäusern hat es Beeinträchtigungen aufgrund von "WannaCry" gegeben. Teilweise mussten Rettungswagen umgeleitet und Operationstermine abgesagt werden.

Zwei Verbreitungswege

Üblicherweise wird Ransomware über kompromittierte Links oder Anhänge in E-Mails verbreitet. Erst ein Klicken oder Öffnen durch den Nutzer führt dann zum Herunterladen der eigentlichen Schadsoftware. Dieser Angriffsvektor wird auch bei "WannaCry" verwendet. Das gewaltige Ausmaß des Angriffs vom Wochenende wurde aber erst dadurch möglich, dass dieser Schädling sich außerdem wie ein Wurm selbst innerhalb eines Netzwerks verbreiten kann.

Die Dafür ausgenutzte Sicherheitslücke in Windows war bereits bekannt und schon im März durch ein Sicherheits-Update behoben worden. Von der selbstständigen Verbreitung betroffen waren also nicht aktualisierte und veraltete Systeme. Microsoft hat am Wochenende auch ein Update für ältere Betriebssysteme wie Windows XP veröffentlicht, die eigentlich nicht mehr unterstützt und aktualisiert werden. Obwohl es unsicher gilt und Experten immer wieder davon abraten, wird gerade Windows XP immer noch von vielen Privatanwendern und in Firmennetzen verwendet.

Eindämmung durch Notausschalter

Der Rückgang der Infektionen ist aber noch auf eine weitere Ursache zurückzuführen. Schon am Samstag ist ein Stopp-Mechanismus ausgelöst worden, den ein anonymer IT-Sicherheitsexperte nach eigenen Angaben durch Zufall entdeckt hat. Er hatte festgestellt, dass die Schadsoftware eine Anfrage an eine bestimmte bisher nicht registrierte Internetadresse schickt. Seit Registrierung dieser Adresse durch den Sicherheitsexperten erhält "WannaCry" nun immer eine Antwort auf die Anfrage. Das führte zur erheblichen Verlangsamung der Verbreitung. Es wird vermutet, dass die Urheber des Cyber-Angriffs diesen Mechanismus als eine Art Notausschalter eingebaut hatten.

Keine Entwarnung

Gebannt ist die Gefahr jedoch nicht. Zwar verbreitet sich "WannaCry" nicht mehr in dem rasanten Tempo wie am Wochenende. Allerdings ist weiterhin eine Infektion von schlecht gesicherten Computern möglich – mindestens über das typische Einfallstor E-Mail. IT-Sicherheitsexperten warnen außerdem davor, dass eine erneute Angriffswelle in Kürze sehr wahrscheinlich ist. Einmal erfolgreich eingesetzte Schadsoftware tritt in der Regel über lange Zeiträume in verschiedenen Varianten auf. Eine Änderung des Codes dahingehend, dass der Stopp-Mechanismus nicht mehr greift, wäre leicht möglich. Es sollten also dringend alle Sicherheits-Updates für Windows Betriebssysteme, insbesondere der Patch vom 14. März (MS17-010), installiert werden. Ansonsten sollten übliche Sicherheitshinweise beachtet werden: Systeme permanent aktuell halten, keine veralteten Betriebssysteme und Programme verwenden, misstrauisch mit Links und Anhängen in E-Mails umgehen.

Wie mit Ransomware und anderen Gefahren aus dem Cyberraum umgegangen werden kann, und welche präventiven Maßnahmen ergriffen werden sollten, vermitteln Kurse wie das Cyber Defence Simulation Training der Cyber Akademie. Die Konfrontation mit simulierten Angriffen in realistischen Netzwerkumgebungen machen die Logik von Cyber-Angriffen und die Strategien hinter der Nutzung von Schwachstellen verständlich und schafft damit die Voraussetzungen zur Umsetzung zielführender Härtungsmaßnahmen.

Informationen zum Cyber Defence Simulation Training und anderen Seminar- und Fortbildungsangeboten im Bereich IT-Sicherheit können unter www.cyber-akademie.de abgerufen werden.

stb




- Anzeigen -
Werbung
Advertisement  
 
Partner
Partner

Logo der ICT AG